协议
TCP/IP协议簇
- 网络接口层(没有特定的协议)PPPOE
-
- 物理层
-
- 数据链路层
- 网络层:lP (v4/6) ARP(地址解析协议) RARP ICMP(Internet控制报文协议) IGMP
- 传输层:TCP (传输控制协议) UDP(用户数据报协议)
- 应用层:都是基于传输层协议的端口,总共端口0 ~ 65535 0~1023 HTTP–tcp80 HTTPS—TCP443
-
- DHCP.
-
- DNS
-
- HTTP
-
- HTTPS
-
- FTP
-
- SMTP
-
- POP3
-
- IMAP
目录
一、wireshark使用
流量抓取工具(wireshark)
1、网卡
wireshark是对主机网卡上的数据流量进行抓取
1.1、网卡模式
- 混杂模式:不管目的是否是自己,都接收
- 非混杂模式:默认情况下,主机的网卡处于此模式,不会接收目的非自己的数据
1.2、界面认识
1.3、两种过滤器
- 捕获过滤器:在抓包之前先进行过滤(只抓某种类型的包或者不抓某些类型的包)
- 显示过滤器:抓包前后抓包后都可以进行过滤,但是不会影响抓取的包(会抓取所有的包,只不过在查看的时候只显示某些包)
1.4、过滤器
- 捕获过滤器
-
- 语法
-
-
- 类型:host net port
-
-
-
- 方向:src dst
-
-
-
- 协议: ether ip tcp udp http ftp………
-
-
-
- 逻辑运算符:&&与 || 或 !非
-
-
- 举例
-
-
- 抓取源P为192.168.18.14并且目标端口为80的报文
-
src host 192.168.18.14 && dst port 80
-
-
- 抓取IP为192.168.18.14或者IP地址为192.168.18.1
-
host 192.168.18.14 || host 192.168.18.1
-
-
- 不抓取广播包
-
! broadcast
-
-
- 抓取源IP为192.168.18.14或者源192.168.18.0/24,目的TCP端口号在200到10000之间,并且目的位于119.0.0.0/8
-
(src host 192.168.18.14 || src net 192.168.18.0/24)&& (dst portrange 200-10000 && dst net 119.0.0.0/8)
- 显示过滤器
-
- 语法
-
- 比较操作符:
== (eq)
!= (neq)
大于(gt)
<小于(lt)
大于等于(ge)
<=小于等于(le)
- 比较操作符:
-
- 逻辑操作符:
and(&&)
与or (ll)
not
- 逻辑操作符:
-
- IP地址过滤:
ip.addr
ip.src
ip.dst
- IP地址过滤:
-
- 端口过滤:
tcp.port
udp.port
tcp.dstport
tcp.flag.syn
tcp.flag.ack
- 端口过滤:
-
- 协议过滤:
arp
ip
icmp
udp
http
tcp
- 协议过滤:
-
- 举例
-
-
- 显示源IP等于192.168.18.14并且tcp端口为443
-
ip.src==192.168.18.14 and tcp.port==443
-
-
- 显示源不为192.168.18.14或者目的不为202.98.96.68的
-
ip.src!=192.168.18.14 or ip.dst!=202.98.96.68
二、ARP协议(地址解析协议)
- 将一个已知的IP地址解析为MAC地址,从而进行二层数据交互
- 是一个三层的协议,但是工作在二层,是一个2.5层协议
1、工作流程
1.1、两个阶段
- ARP请求
- ARP响应
1.2、ARP协议报文(分组)格式
1.3、ARP缓存
- 主要的目的是为了避免重复去发送ARP请求
- 在Windows操作系统中使用ARP命令
(1) arp -a
(2) arp -d
2、ARP攻击及ARP欺骗
2.1、ARP攻击
- 伪造ARP应答报文,向被攻击主机响应虚假的MAC地址
当被攻击主机进行网络通信时,会将数据交给虚假的MAC地址进行转发,由于虚假的MAC地址不存在,所以造成被攻击主机无法访问网络
2.2、ARP欺骗
- 欺骗网关
(1)伪造ARP应答报文,向被攻击主机和网关响应真实的MAC地址
(2)当被攻击主机进行网络通信时,会将数据交给真实MAC地址进行转发,从而来截获被攻击主机的数据,这时被攻击主机是可以进行网络通信的 - 欺骗主机
(1)伪造ARP应答报文,向被攻击主机和通信的主机响应真实的MAC地址
(2)当被攻击主机向通信主机发送数据时,会将数据交给真实MAC地址进行转发,从而来截获被攻击主机的数据,这时被攻击主机是可以进行网络通信的